フィッシング詐欺サイト情報
Yesterday: 
おまえのクレジットカードの期限がもうすぐ切れるよという通知が本物のpaypal.comから来ました。これが実物です。
本物の通知メールはhtml形式でもなく、リンクもありません。自分のブラウザのブックマークからログインして更新するというわけですね。
詐欺メールのほとんどはここをクリックしろ、とhtml中のリンクをクリックするようになっています。注意しましょう。
本物の通知メールはhtml形式でもなく、リンクもありません。自分のブラウザのブックマークからログインして更新するというわけですね。
詐欺メールのほとんどはここをクリックしろ、とhtml中のリンクをクリックするようになっています。注意しましょう。
● paypal.comの偽サイト ttp://www.barnsagan.se/.../ws/paypalddlsign/webscr/ssl-login/us/webscr.php?cmd=_login-run
ClamAVで HTML.Phishing.Auction-28 と検知されています。
www.barnsagan.seのアドレスは194.9.95.8でスウエーデン、逆引きはs43.loopia.seです。
ttp://www.barnsagan.se/ には普通のページが見られるのでクラックされています。
サーバーの応答はApache/1.3.34 (Unix) PHP/4.4.2 mod_ssl/2.8.25 OpenSSL/0.9.8aです。barnsagan.seに通報しました。
www.barnsagan.seのアドレスは194.9.95.8でスウエーデン、逆引きはs43.loopia.seです。
ttp://www.barnsagan.se/ には普通のページが見られるのでクラックされています。
サーバーの応答はApache/1.3.34 (Unix) PHP/4.4.2 mod_ssl/2.8.25 OpenSSL/0.9.8aです。barnsagan.seに通報しました。
● ebay.comの偽サイト ttp://signin.ebay.com.retbundpoi.us/aw-cgi/SignIn.html
ClamAVで HTML.Phishing.Bank-49 と検知されています。
signin.ebay.com.retbundpoi.usのアドレスは218.29.36.100で中国、逆引きはありません。
ttp://signin.ebay.com.retbundpoi.us/ および ttp://218.29.36.100/ としてアクセスするとAccess Denied !!!というメッセージが出ます。!!!は普通のエラーメッセージではありませんね。犯人が開設しているからでしょうか。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。
signin.ebay.com.retbundpoi.usのアドレスは218.29.36.100で中国、逆引きはありません。
ttp://signin.ebay.com.retbundpoi.us/ および ttp://218.29.36.100/ としてアクセスするとAccess Denied !!!というメッセージが出ます。!!!は普通のエラーメッセージではありませんね。犯人が開設しているからでしょうか。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。
● chase.comの偽サイト ttp://bluemalefirst.prestart.best-hosting.ru/secure.chase.com/
ClamAVでHTML.Phishing.Bank-391と検知されています。
bluemalefirst.prestart.best-hosting.ruのアドレスは213.248.62.113でロシア、逆引きはありません。
サブドメインのレンタルサーバーを利用して詐欺を働いているようです。
サーバーの応答はApacheとだけわかります。cyota.comとbest-hosting.ruに通報しました。
追記:
best-hosting.ruから連絡があってサイトは閉鎖したとのこと。迅速な対応でした。
bluemalefirst.prestart.best-hosting.ruのアドレスは213.248.62.113でロシア、逆引きはありません。
サブドメインのレンタルサーバーを利用して詐欺を働いているようです。
サーバーの応答はApacheとだけわかります。cyota.comとbest-hosting.ruに通報しました。
追記:
best-hosting.ruから連絡があってサイトは閉鎖したとのこと。迅速な対応でした。
● ebay.comの偽サイト ttp://www.direct-to-home.com/ebay/eBayISAPI.htm
ClamAVで HTML.Phishing.Auction-68 と検知されています。
direct-to-home.comのアドレスは80.99.10.28でハンガリー、逆引きはcatv-50630a1c.catv.broadband.huです。
ttp://direct-to-home.com/ あるいは ttp://80.99.10.28/ としてつなぐとApacheインストール直後のでフォルト画面が見えるのでクラックされているのか犯人自身がたちあげているのか不明ですがSMTP応答のときのホスト名がtfcbroadcasting.netでありアドレスもこれに一致するので立ち上げたまま放置されているサーバーがクラックされたようです。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。ebay.comに通報しました。
direct-to-home.comのアドレスは80.99.10.28でハンガリー、逆引きはcatv-50630a1c.catv.broadband.huです。
ttp://direct-to-home.com/ あるいは ttp://80.99.10.28/ としてつなぐとApacheインストール直後のでフォルト画面が見えるのでクラックされているのか犯人自身がたちあげているのか不明ですがSMTP応答のときのホスト名がtfcbroadcasting.netでありアドレスもこれに一致するので立ち上げたまま放置されているサーバーがクラックされたようです。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。ebay.comに通報しました。
● chase.comの偽サイト ttp://chaseonline.chase.com.logdon.info/chase/Chase%20OnlineSM%20-%20Customer%20Survey.htm?_nfpb=true&_pageLabel=page_logonfor
ClamAVでHTML.Phishing.Bank-362と検知されています。
chaseonline.chase.com.logdon.infoのアドレスは70.88.218.89でアメリカ、逆引きはありません。
ドメインlogdon.infoはこの詐欺のために取得したものです。取得日は4月17日、期限は1年です。DNSはyahoo.comのビジネスサービスを使っているので取得もそのサービスからです。このサービスは匿名で加入できるようです。
ttp://70.88.218.89/ としたトップページはLinuxインストール直後のデフォルトらしき画面(XAMPP for Linux)になります。そのToolsに行くとWebalizerというアクセスログ分析結果を見ることができるのですがアクセスは以下のようにchaseしか無いので犯人自身が立ち上げているものと考えられます。
以下ではどれくらい詐欺ページが立ち上がっているかを知ることができます。
サーバーの応答は以下です。
Server: Apache/2.0.53 (Unix) mod_ssl/2.0.53 OpenSSL/0.9.7d PHP/5.0.3 DAV/2 mod_perl/1.999.21 Perl/v5.8.6
追記:
朝の9:00に/chase/thanks.htm が5回だったのですが13:00ではそれが6回になっています。4時間で一回増えただけということです。多いのか少ないのか。。。入り口の chase/Chase OnlineSM - Customer Survey.htm は151回です。
おっとそうか、chaseonline.chase.com.logdon.infoは既にDNSから消えていました。でも、ttp://70.88.218.89/chase/Chase%20OnlineSM%20-%20Customer%20Survey.htm?_nfpb=true&_pageLabel=page_logonfor とすればまだ見られます。
以下は13:20時点でのアクセス。詐欺の実体がわかってなかなかいい情報です ;-)
chaseonline.chase.com.logdon.infoのアドレスは70.88.218.89でアメリカ、逆引きはありません。
ドメインlogdon.infoはこの詐欺のために取得したものです。取得日は4月17日、期限は1年です。DNSはyahoo.comのビジネスサービスを使っているので取得もそのサービスからです。このサービスは匿名で加入できるようです。
ttp://70.88.218.89/ としたトップページはLinuxインストール直後のデフォルトらしき画面(XAMPP for Linux)になります。そのToolsに行くとWebalizerというアクセスログ分析結果を見ることができるのですがアクセスは以下のようにchaseしか無いので犯人自身が立ち上げているものと考えられます。
以下ではどれくらい詐欺ページが立ち上がっているかを知ることができます。
サーバーの応答は以下です。
Server: Apache/2.0.53 (Unix) mod_ssl/2.0.53 OpenSSL/0.9.7d PHP/5.0.3 DAV/2 mod_perl/1.999.21 Perl/v5.8.6
追記:
朝の9:00に/chase/thanks.htm が5回だったのですが13:00ではそれが6回になっています。4時間で一回増えただけということです。多いのか少ないのか。。。入り口の chase/Chase OnlineSM - Customer Survey.htm は151回です。
おっとそうか、chaseonline.chase.com.logdon.infoは既にDNSから消えていました。でも、ttp://70.88.218.89/chase/Chase%20OnlineSM%20-%20Customer%20Survey.htm?_nfpb=true&_pageLabel=page_logonfor とすればまだ見られます。
以下は13:20時点でのアクセス。詐欺の実体がわかってなかなかいい情報です ;-)
— posted by staff @ 08:14AM
| TrackBack(0)
